Fonte: NAT

O NAT de origem é a tradução do endereço IP de origem de um pacote que sai do dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.

O NAT de origem permite que as conexões sejam iniciadas apenas para conexões de rede de saída, por exemplo, de uma rede privada para a Internet. O NAT de origem é comumente usado para realizar as seguintes traduções:

• Converta um único endereço IP em outro endereço (por exemplo, para fornecer acesso à Internet a um único dispositivo em uma rede privada).

• Converta um bloco contíguo de endereços em outro bloco de endereços do mesmo tamanho.

• Converta um bloco contíguo de endereços em outro bloco de endereços de tamanho menor.

• Traduza um bloco contíguo de endereços em um único endereço IP ou em um bloco menor de endereços usando a conversão de portas.

• Converta um bloco contíguo de endereços para o endereço da interface de saída.

A conversão para o endereço da interface de saída não requer um pool de endereços; todas as outras traduções NAT de origem exigem a configuração de um pool de endereços. As traduções um-para-um e muitos-para-muitos para blocos de endereços do mesmo tamanho não exigem tradução de porta porque há um endereço disponível no pool para cada endereço que seria traduzido.

Se o tamanho do pool de endereços for menor que o número de endereços que seriam traduzidos, o número total de endereços simultâneos que podem ser convertidos será limitado pelo tamanho do pool de endereços ou a conversão de porta deverá ser usada. Por exemplo, se um bloco de 253 endereços for convertido em um pool de endereços de 10 endereços, no máximo 10 dispositivos poderão ser conectados simultaneamente, a menos que a conversão de porta seja usada.

Há suporte para os seguintes tipos de NAT de origem:

• Tradução do endereço IP de origem original para o endereço IP da interface de saída (também chamado de interface NAT). A conversão de endereço de porta é sempre executada.

• Tradução do endereço IP de origem original para um endereço IP de um pool de endereços definido pelo usuário sem conversão de endereço de porta. A associação entre o endereço IP de origem original e o endereço IP de origem traduzido é dinâmica. No entanto, quando há uma associação, a mesma associação é usada para o mesmo endereço IP de origem original para novo tráfego que corresponde à mesma regra NAT.

• Tradução do endereço IP de origem original para um endereço IP de um pool de endereços definido pelo usuário com tradução de endereço de porta. A associação entre o endereço IP de origem original e o endereço IP de origem traduzido é dinâmica. Mesmo que exista uma associação, o mesmo endereço IP de origem original pode ser convertido em um endereço diferente para um novo tráfego que corresponda à mesma regra NAT.

• Conversão do endereço IP de origem original para um endereço IP de um pool de endereços definido pelo usuário, deslocando os endereços IP. Esse tipo de tradução é individual, estática e sem tradução de endereço de porta. Se o intervalo de endereços IP de origem original for maior que o intervalo de endereços IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados.

No dispositivo da Série MX, se você usar o NAT de origem em uma interface AMS (multisserviços agregada). O service set comando cria uma entrada separada para cada interface AMS. Portanto, a utilização da memória se esgota e, se você configurar uma interface AMS adicional, resultará em erro de confirmação de configuração.

• A arquitetura de ponto central não suporta mais sessões de ponto central. Portanto, o NAT precisa manter um rastreador NAT para rastrear o endereço IP ou a alocação e o uso da porta. O rastreador NAT é uma matriz global para mapeamento de porta ou IP de sessão de SPU para IP NAT usado para gerenciar recursos NAT.

• Por padrão, uma mensagem de alarme de regra NAT e uma mensagem de atualização do contador de estatísticas de interceptação são enviadas da Unidade de Processamento de Serviços (SPU) para o ponto central em intervalos de 1 segundo, em vez de atualizar as estatísticas com base em cada acionador de sessão no sistema de ponto central.

• Para dar suporte a um endereço IP NAT específico ou porta alocada de modo que o hash de 5 tuplas após o NAT seja o mesmo que o hash original de 5 tuplas antes do NAT, selecione uma porta NAT que resulte no mesmo hash que o hash original pelo cálculo específico. Portanto, a sessão de encaminhamento é reduzida. Quando o NAT é usado, a asa reversa é hash para uma SPU diferente. Uma sessão de encaminhamento deve ser instalada para encaminhar o tráfego reverso para uma SPU de sessão. O NAT tenta selecionar uma porta que pode ser usada pelo algoritmo de hash para fazer com que a asa reversa seja hash para a mesma SPU que a asa inicial. Portanto, o desempenho do NAT e a taxa de transferência são aprimorados com essa abordagem.

• Para melhorar o desempenho do NAT, o gerenciamento do pool de deslocamento de IP (pool não PAT) é movido do ponto central para a SPU para que todos os recursos NAT locais para esse pool sejam gerenciados localmente em vez de enviar a solicitação NAT para o ponto central. Assim, as conexões do pool NAT de mudança de endereço IP por segundo e a taxa de transferência são aprimoradas.

O modo de intermitência de estouro de porta permite que você use as portas além dos blocos de porta alocados. Você pode configurar um pool de intermitência com um intervalo de portas em um endereço IP a ser reservado para intermitência.

Existem tipos de pool primário e de intermitência, o dispositivo usa o pool de intermitência quando os assinantes atingem o limite configurado no pool primário.

O modo Brust é suportado em:

1. Pool NAT de origem NAT determinístico com pool de intermitência do tipo PBA.

2. Pool NAT de origem NAT determinístico com pool de intermitência do tipo Network Address Port Translation (NAPT) dinâmico.

3. Pool NAT de origem PBA regular com pool de intermitência do tipo PBA.

4. Pool NAT de origem PBA regular com pool de intermitência do tipo NAPT dinâmico.

Método de tipo de intermitência do PBA — O PBA oferece suporte ao modo de operações APP e não APP.

• Modo APP — as portas são alocadas do pool primário. Quando o limite de assinantes exceder do pool primário, se houver portas disponíveis para o mesmo endereço IP do pool de intermitência, novas sessões serão criadas.

• Modo não APP — As portas são alocadas do pool primário. Quando o limite de assinantes excede do pool primário, novas sessões são criadas a partir do pool de intermitência com qualquer endereço IP e porta disponíveis.

Método do tipo de intermitência DetNAT — as portas são alocadas do pool primário. Se o mesmo endereço IP do pool de intermitência ou todas as portas disponíveis não estiverem disponíveis no mesmo endereço IP, uma nova sessão será criada com outro endereço IP. Se o pool de intermitência estiver configurado com um IP diferente do pool primário, usará outro IP do pool de intermitência.

• Modo de randomização de porta (padrão)
• Modo Round-Robin
• Modo de afinidade de sessão

• Finalidade
• Ação

Este exemplo descreve como configurar um mapeamento NAT de origem de endereços privados para o endereço público de uma interface de saída.

Este exemplo descreve como configurar um mapeamento NAT de origem de um único endereço privado para um endereço público.

Este exemplo descreve como configurar mapeamentos NAT de origem e destino.

As regras de NAT de origem especificam duas camadas de condições de correspondência:

• Direção do tráfego — Permite especificar combinações de from interface, from zone, ou from routing-instance e to interface, to zone, ou to routing-instance. Você não pode configurar os mesmos from contextos e to para conjuntos de regras diferentes.

• Informações de pacote — podem ser endereços IP ou sub-redes de origem e destino, números de porta de origem ou intervalos de portas, números de porta de destino ou intervalos de portas, protocolos ou aplicativos.

Para todo o tráfego ALG, exceto FTP, recomendamos que você não use a source-port opção de regra. A criação da sessão de dados poderá falhar se essa opção for usada porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não corresponder à regra.

Além disso, recomendamos que você não use a opção ou a application opção como condições correspondentes para o destination-port tráfego ALG. Se essas opções forem usadas, a conversão poderá falhar porque o valor da porta na carga útil do aplicativo pode não corresponder ao valor da porta no endereço IP.

Se várias regras NAT de origem se sobrepuserem nas condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especificar o tráfego da zona 1 para a zona 2 e a regra B especificar o tráfego da zona 1 para a interface ge-0/0/0, a regra B será usada para executar o NAT de origem. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma correspondência de instância de roteamento.

As ações que você pode especificar para uma regra NAT de origem são:

• off— Não execute o NAT de origem.

• pool — Use o pool de endereços definido pelo usuário especificado para executar o NAT de origem.

• interface — Use o endereço IP da interface de saída para executar o NAT de origem.

As regras NAT de origem são aplicadas ao tráfego no primeiro pacote processado para o fluxo ou no caminho rápido para o ALG. As regras NAT de origem são processadas após regras NAT estáticas, regras NAT de destino e mapeamento reverso de regras NAT estáticas e após pesquisa de rota e política de segurança.

Quando as zonas não são configuradas no conjunto de regras e quando o NAT de origem ativa é configurado com a declaração obrigatória ausente "de", a seguinte mensagem é exibida ao executar o commit "Declaração obrigatória ausente: erro 'de': falha no check-out da configuração" e o check-out da configuração falha.

Este exemplo descreve como configurar mapeamentos NAT de origem com várias regras.

Um pool NAT é um conjunto definido pelo usuário de endereços IP usados para tradução. Ao contrário do NAT estático, em que há um mapeamento um-para-um que inclui a tradução do endereço IP de destino em uma direção e a tradução do endereço IP de origem na direção inversa, com o NAT de origem, você converte o endereço IP de origem original em um endereço IP no pool de endereços.

Para pools de endereços Network Address Translation (NAT) de origem, especifique o seguinte:

• Nome do pool de endereços NAT de origem.

• Até 64 intervalos de endereços.

  Não sobreponha endereços NAT para NAT de origem, NAT de destino e NAT estático em uma instância de roteamento.

• Routing instance — Instância de roteamento à qual o pool pertence (o padrão é a instância de roteamento principal inet.0 ).

• Porta — A PAT (Tradução de Endereço de Porta) para um pool de origem. Por padrão, o PAT é executado com o NAT de origem. Se você especificar a opção no-translation , o número de hosts que o pool NAT de origem pode suportar será limitado ao número de endereços no pool. Se você especificar block-allocation, um bloco de portas será alocado para tradução, em vez de portas individuais serem alocadas. Se você especificar deterministic, um endereço IP de entrada (origem) e uma porta sempre serão mapeados para o endereço de destino específico e o bloco de porta, com base no algoritmo NAT predefinido e determinístico. Se você especificar port-overloading, poderá configurar a capacidade de sobrecarga da porta no NAT de origem. Se você especificar range, poderá fornecer o intervalo de números de porta anexado a cada endereço no pool e o intervalo de portas gêmeas para pools NAT de origem.

• Pool de estouro (opcional) — Os pacotes são descartados se não houver endereços disponíveis no pool NAT de origem designado. Para evitar que isso aconteça quando a opção port no-translation estiver configurada, você pode especificar um pool de estouro. Quando os endereços do pool NAT de origem original são esgotados, os endereços IP e os números de porta são alocados do pool de estouro. Um pool NAT de origem definido pelo usuário ou uma interface de saída pode ser usado como o pool de estouro. (Quando o pool de estouro é usado, a ID do pool é retornada com o endereço.)

• Mudança de endereço IP (opcional) — Um intervalo de endereços IP de origem original pode ser mapeado para outro intervalo de endereços IP ou para um único endereço IP, deslocando os endereços IP. Especifique a opção host-address-base com o endereço base do intervalo de endereços IP de origem original.

• Compartilhamento de endereços (opcional) — Vários endereços IP internos podem ser mapeados para o mesmo endereço IP externo. Essa opção só pode ser usada quando o pool NAT de origem estiver configurado sem tradução de porta. Especifique a address-shared opção quando um pool NAT de origem tiver poucos endereços IP externos disponíveis ou apenas um endereço IP externo. Com um mapeamento de muitos para um, o uso dessa opção aumenta os recursos NAT e melhora o tráfego.

• Pool de endereços (opcional) — O pool de endereços pode ser configurado como emparelhado ou não emparelhado. Especifique address-pooling paired para aplicativos que exigem que todas as sessões associadas a um endereço IP interno sejam mapeadas para o mesmo endereço IP externo durante uma sessão. Isso difere da persistent-address opção, na qual o mesmo endereço interno é convertido para o mesmo endereço externo todas as vezes. Especifique address-pooling no-paired para aplicativos que podem ser atribuídos endereços IP de forma round-robin. Se um ou address-pooling paired address-pooling no-paired estiver configurado para um pool NAT de origem com PAT, a opção de endereço persistente será desabilitada. Se address-shared estiver configurado em um pool NAT de origem sem PAT, a persistent-address opção será habilitada. Ambos address-shared e address-pooling paired podem ser configurados no mesmo pool NAT de origem sem PAT.

• Alarme de utilização de pool (opcional)— Quando a opção raise-threshold é configurada para NAT de origem, uma armadilha SNMP é acionada se a utilização do pool de NAT de origem subir acima desse limite. Se a opção opcional clear-threshold estiver configurada, uma interceptação SNMP será acionada se a utilização do pool NAT de origem cair abaixo desse limite. Se clear-threshold não estiver configurado, ele será definido por padrão como 80% do valor raise-threshold .

Você pode usar o comando show security nat resource usage source pool para visualizar o uso de endereços em um pool NAT de origem sem PAT e para visualizar o uso da porta em um pool NAT de origem com PAT.

Aumentar o número total de endereços IP usados para o NAT de origem, aumentando o número de pools na configuração e/ou aumentando a capacidade ou os endereços IP por pool, consome a memória necessária para a alocação de portas. Quando os limites do pool NAT de origem e do endereço IP são atingidos, os intervalos de portas devem ser reatribuídos. Ou seja, o número de portas para cada endereço IP deve ser diminuído quando o número de endereços IP e pools NAT de origem for aumentado. Isso garante que o NAT não consuma muita memória.

Consulte a seção Informações adicionais da plataforma para obter mais informações.

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.

Use as range opções e range twin-port no nível da [edit security nat source pool port] hierarquia para atribuir um novo intervalo de portas ou intervalo de portas gêmeas para um pool específico. Use as pool-default-port-range opções e as pool-default-twin-port-range opções no nível da [edit security nat source] hierarquia para especificar o intervalo de portas padrão global ou o intervalo de portas gêmeas para todos os pools NAT de origem.

A configuração da sobrecarga de porta também deve ser feita com cuidado quando os pools NAT de origem são aumentados.

Para um pool de origem com PAT no intervalo (63.488 a 65.535), duas portas são alocadas ao mesmo tempo para aplicativos RTP/RTCP, como SIP, H.323 e RTSP. Nesses cenários, cada endereço IP oferece suporte ao PAT, ocupando 2048 portas (63.488 a 65.535) para uso do módulo ALG.

Por padrão, a conversão de endereço de porta é executada com o NAT de origem. No entanto, um endereço de origem original pode não ser convertido para o mesmo endereço IP para tráfego diferente que se origina do mesmo host. A opção NAT address-persistent de origem garante que o mesmo endereço IP seja atribuído do pool NAT de origem a um host específico para várias sessões simultâneas.

Essa opção difere da opção emparelhada de pooling de endereços, em que o endereço interno é mapeado para um endereço externo dentro do pool por ordem de chegada e pode ser mapeado para um endereço externo diferente para cada sessão.

Este exemplo descreve como configurar a capacidade dos pools NAT de origem com PAT (Tradução de Endereço de Porta) se um intervalo de portas padrão não estiver definido ou se você quiser substituí-lo. As traduções são definidas para cada endereço IP. Quando o pool de origem é aumentado, as portas devem ser reatribuídas se o número de porta atual exceder as limitações.

Quando um host inicia várias sessões que correspondem a uma política que requer NAT e recebe um endereço IP de um pool de origem que tem a conversão de endereço de porta habilitada, um endereço IP de origem diferente é usado para cada sessão.

Como alguns aplicativos exigem o mesmo endereço IP de origem para cada sessão, você pode usar o address-pooling paired recurso para permitir que todas as sessões associadas a um endereço IP interno sejam mapeadas para o mesmo endereço IP externo durante as sessões. Quando as sessões terminam, o mapeamento entre o endereço IP interno e o endereço IP externo cessa. Na próxima vez que o host iniciar uma sessão, um endereço IP diferente do pool poderá ser atribuído a ele.

Isso difere do recurso NAT address-persistent de origem, que mantém o mapeamento estático; o mesmo endereço IP interno é mapeado para o mesmo endereço IP externo todas as vezes. Ele também difere do address-persistent recurso configurado address-pooling paired para um pool específico. O address-persistent recurso é uma configuração global que se aplica a todos os pools de origem.

As condições de correspondência para um conjunto de regras NAT de origem não permitem que você especifique um intervalo de endereços; Somente prefixos de endereço podem ser especificados em uma regra. Ao configurar um pool NAT de origem, você pode especificar a host-base-address opção; essa opção especifica o endereço IP onde o intervalo de endereços IP de origem original começa.

O intervalo de endereços IP de origem originais convertidos é determinado pelo número de endereços no pool NAT de origem. Por exemplo, se o pool NAT de origem contiver um intervalo de dez endereços IP, até dez endereços IP de origem originais poderão ser convertidos, começando com um endereço base especificado. Esse tipo de tradução é individual, estática e sem tradução de endereço de porta.

A condição de correspondência em uma regra NAT de origem pode definir um intervalo de endereços maior do que o especificado no pool NAT de origem. Por exemplo, uma condição de correspondência pode especificar um prefixo de endereço que contém 256 endereços, mas o pool NAT de origem pode conter um intervalo de apenas alguns endereços IP ou apenas um endereço IP. O endereço IP de origem de um pacote pode corresponder a uma regra NAT de origem, mas se o endereço IP de origem não estiver dentro do intervalo de endereços especificado no pool NAT de origem, o endereço IP de origem não será convertido.

Este exemplo descreve como configurar um mapeamento NAT de origem de um intervalo de endereços privados para endereços públicos, com deslocamento de endereço opcional. Esse mapeamento é um para um entre os endereços IP de origem originais e os endereços IP convertidos.

As condições de correspondência para um conjunto de regras NAT de origem não permitem que você especifique um intervalo de endereços; Somente prefixos de endereço podem ser especificados em uma regra. Ao configurar um pool NAT de origem, você pode especificar a host-base-address opção; essa opção especifica o endereço IP onde o intervalo de endereços IP de origem original começa e desabilita a conversão de porta.

O intervalo de endereços IP de origem originais convertidos é determinado pelo número de endereços no pool NAT de origem. Por exemplo, se o pool NAT de origem contiver um intervalo de dez endereços IP, até dez endereços IP de origem originais poderão ser convertidos, começando com um endereço base especificado.

A condição de correspondência em uma regra NAT de origem pode definir um intervalo de endereços maior do que o especificado no pool NAT de origem. Por exemplo, uma condição de correspondência pode especificar um prefixo de endereço que contém 256 endereços, mas o pool NAT de origem contém um intervalo de apenas dez endereços IP. O endereço IP de origem de um pacote pode corresponder a uma regra NAT de origem, mas se o endereço IP de origem não estiver dentro do intervalo de endereços especificado no pool NAT de origem, o endereço IP de origem não será convertido.

Usando o pool de origem com a tradução de endereço de porta (PAT), o Junos OS converte tanto o endereço IP de origem quanto o número de porta dos pacotes. Quando o PAT é usado, vários hosts podem compartilhar o mesmo endereço IP.

O Junos OS mantém uma lista de números de porta atribuídos para distinguir qual sessão pertence a qual host. Quando o PAT está habilitado, até 63.488 hosts podem compartilhar um único endereço IP. Cada pool de origem pode conter vários endereços IP, vários intervalos de endereços IP ou ambos. Para um pool de origem com PAT, o Junos OS pode atribuir endereços diferentes a um único host para diferentes sessões simultâneas, a menos que o pool de origem ou o Junos OS tenha o recurso de endereço persistente ou o recurso de pool de endereços emparelhados habilitado.

Para pool de origem de interface e pool de origem com PAT, o intervalo (1024, 65535) está disponível para mapeamento de número de porta por endereço IP. Dentro do intervalo (1024, 63487), uma porta é alocada por vez, para um total de 62.464 portas. No intervalo (63488, 65535), duas portas são alocadas por vez para aplicativos RTP/RTCP, como SIP, H.323 e RTSP, para um total de 2.048 portas.

Quando um host inicia várias sessões que correspondem a uma política que requer tradução de endereço de rede e recebe um endereço de um pool de origem que tem o PAT habilitado, o dispositivo atribui um endereço IP de origem diferente para cada sessão. Essa atribuição de endereços aleatórios pode ser problemática para serviços que criam várias sessões que exigem o mesmo endereço IP de origem para cada sessão. Por exemplo, é importante ter o mesmo endereço IP para várias sessões ao usar o cliente AOL Instant Message (AIM).

Para garantir que o roteador atribua o mesmo endereço IP de um pool de origem a um host para várias sessões simultâneas, você pode habilitar um endereço IP persistente por roteador. Para garantir que o dispositivo atribua o mesmo endereço IP de um pool de origem a um host durante uma única sessão, você pode habilitar o pool de endereços emparelhado.

Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor usando a conversão de endereço de porta.

Quando você define um pool de origem, o Junos OS habilita o PAT por padrão. Para desabilitar o PAT, você não deve especificar nenhuma conversão de porta ao definir um pool de origem.

Ao usar um pool de origem sem PAT, o Junos OS realiza a Network Address Translation de origem para o endereço IP sem realizar o PAT para o número da porta de origem. Para aplicativos que exigem que um determinado número de porta de origem permaneça fixo, você deve usar o pool de origem sem PAT.

O pool de origem pode conter vários endereços IP, vários intervalos de endereços IP ou ambos. Para o pool de origem sem PAT, o Junos OS atribui um endereço de origem traduzido ao mesmo host para todas as suas sessões simultâneas, a menos que a opção de pooling de endereços não emparelhado esteja habilitada.

O número de hosts que um pool NAT de origem sem PAT pode suportar é limitado ao número de endereços no pool. Quando você tem um pool com um único endereço IP, apenas um host pode ser suportado e o tráfego de outros hosts é bloqueado porque não há recursos disponíveis. Se um único endereço IP for configurado para um pool NAT de origem sem PAT quando a atribuição de recursos NAT não estiver no modo de backup ativo em um cluster de chassi, o tráfego pelo nó 1 será bloqueado.

A utilização do pool para cada pool de origem sem PAT é calculada. Você pode ativar o alarme de utilização do pool configurando limites de alarme. Uma interceptação SNMP é acionada toda vez que a utilização do grupo sobe acima de um limite e fica abaixo de um limite.

Se uma regra NAT estática for para conversão de IP um-para-um, evite dividir a regra em uma regra de destino e uma regra de origem quando o pool sem pátria de origem sem compartilhamento de endereços for usado. Se você optar por dividir a regra, terá que usar o pool de pat-pool de origem com IP único ou o pool sem pat de origem com IP múltiplo.

Este exemplo descreve como configurar um bloco de endereço privado para um único endereço público em um pool NAT de origem sem Tradução de Endereço de Porta.

O PAT é habilitado por padrão para pools NAT de origem. Quando o PAT está desabilitado, o número de traduções que o pool NAT de origem pode suportar simultaneamente é limitado ao número de endereços no pool. Os pacotes serão descartados se não houver endereços disponíveis no pool NAT de origem. No entanto, usando a address-shared opção, você pode mapear mais de um endereço IP privado para um único endereço IP público, desde que o tráfego seja de portas de origem diferentes.

Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor sem tradução de endereço de porta.

A conversão de endereço de porta é habilitada por padrão para pools NAT de origem. Quando a conversão de endereço de porta está desabilitada, o número de traduções que o pool NAT de origem pode suportar simultaneamente é limitado ao número de endereços no pool. Os pacotes serão descartados se não houver endereços disponíveis no pool NAT de origem. Opcionalmente, você pode especificar um pool de estouro do qual os endereços IP e os números de porta são alocados quando não houver endereços disponíveis no pool NAT de origem original.

Os pools NAT de origem sem tradução de endereço de porta executam mapeamentos estáticos de um para um endereço IP de origem para um endereço IP externo. Quando há apenas um endereço IP externo, ou muito poucos disponíveis em um pool sem pátria de origem, a address-shared opção permite mapear muitos endereços IP de origem para um endereço IP externo, desde que o tráfego venha de portas de origem diferentes.

Por exemplo, se houver um pool NAT de origem sem tradução de porta contendo apenas dois endereços IP, IP 1 e IP 2, quando um pacote chegar de

1. IP de origem 1, porta 1, é traduzido para IP 1, porta 1.

2. IP de origem 2, porta 2, é traduzido para IP 2, porta 2.

3. IP de origem 3, porta 1, é traduzido para IP 2, porta 1. (Não pode ser traduzido para a porta IP 1 1 porque essa porta já está sendo usada.

   No entanto, se outro pacote chegar do IP de origem 3, porta 1 para um IP e porta de destino diferentes, ele não poderá ser convertido em IP 1, porta 1 ou IP 2, porta 1 porque a porta 1 já está sendo usada para ambos os endereços IP disponíveis. A sessão falhará.

Essa opção aumenta os recursos NAT e melhora a possibilidade de configurar o tráfego traduzido bem-sucedido. Ele não pode ser usado em pools NAT de origem com tradução de endereço de porta porque o compartilhamento de endereço já é seu comportamento padrão.

A persistência de sessão do Network Address Translation (NAT) fornece um meio de reter as sessões existentes, em vez de limpá-las, quando há alterações na configuração do NAT. Se a persistência de sessão estiver habilitada, as sessões retidas continuarão a processar e encaminhar pacotes à medida que o tempo e os recursos são usados de forma otimizada para reconstruir as sessões afetadas. Assim, o encaminhamento de pacotes não é interrompido mesmo que a configuração do NAT seja alterada para algumas ou todas as sessões.

A partir do Junos OS Release 18.3R1, com o suporte para persistência de sessão NAT, o Mecanismo de Encaminhamento de Pacotes varre as sessões e decide se as mantém ou cancela. Em versões anteriores ao Junos OS Release 18.3R1, as sessões de NAT são limpas se houver uma mudança na configuração do NAT.

O Mecanismo de Encaminhamento de Pacotes executa os dois tipos de varreduras a seguir para decidir se deve reter ou descartar sessões:

• Source NAT pool session persistence scan— O Mecanismo de Encaminhamento de Pacotes compara o endereço IP da sessão existente com o intervalo de endereços do pool de origem. Se o endereço IP da sessão existente estiver no intervalo de endereços do pool de origem especificado, a sessão será mantida ativa, caso contrário, a sessão será limpa.

• Source NAT rule session persistence scan— O Mecanismo de Encaminhamento de Pacotes usa o ID da regra para comparar o endereço IP de origem, a porta de origem, o endereço IP de destino e a porta de destino entre as configurações antiga e nova. Se as configurações nova e antiga forem as mesmas, a sessão será mantida ativa, caso contrário, a sessão será limpa.

A persistência de sessão NAT não é suportada para NAT estático e NAT de destino.

A persistência de sessão NAT não é suportada se o pool PAT estiver configurado com os campos de endereço persistente, pool de endereços emparelhado, persistente de endereço de origem, alocação de bloco de porta, determinístico de porta, NAT persistente e fator de sobrecarga de porta.

A persistência de sessão NAT é suportada apenas para NAT de origem nos seguintes cenários:

• Pool de origem — Alteração em um intervalo de endereços em um pool de PAT (Port Address Translation).

• Regra de origem — Alteração nas condições de correspondência para o catálogo de endereços, aplicativo, endereço IP de destino, porta de destino, endereço IP de origem e informações da porta de destino.

Para habilitar a varredura de persistência de sessão NAT, inclua a session-persistence-scan declaração no nível da [edit security nat source] hierarquia.

Você também pode configurar um valor de tempo limite para reter as sessões pelo período de tempo especificado usando o set security nat source session-drop-hold-down comando CLI. O valor da session-drop-hold-down opção varia de 30 a 28.800 segundos (oito horas). A sessão expira após o período de tempo limite configurado.

A configuração da Network Address Translation (NAT) geralmente muda para acomodar mais usuários e aprimorar a rota mais curta para transferir o tráfego. Se houver uma mudança na interface de saída devido ao redirecionamento do tráfego, você poderá usar o set security flow enable-reroute-uniform-link-check nat comando para manter a configuração e a regra do NAT existentes.

Quando o enable-reroute-uniform-link-check nat comando está habilitado:

• A sessão será mantida com a regra NAT existente, se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança e não houver nenhuma alteração na regra NAT correspondente ou se nenhuma regra for aplicada antes e depois do reroteamento.

• A sessão expira se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança e a regra NAT correspondente for alterada.

Quando o enable-reroute-uniform-link-check nat comando está desabilitado:

• O tráfego será encaminhado para a nova interface de saída se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança.

Configuration

Para habilitar a configuração de NAT para uma sessão existente quando houver uma alteração na interface de saída devido ao reroteamento, use o seguinte comando:

[edit] user@host# set security flow enable-reroute-uniform-link-check natA nova configuração é aplicada quando você confirma as alterações de configuração.

O está desabilitado enable-reroute-uniform-link-check nat command por padrão.

Limitations

Manter a configuração do NAT usando o set security flow enable-reroute-uniform-link-check nat comando tem as seguintes limitações:

• A sincronização TCP não permite que a nova sessão transfira o tráfego. Você deve desabilitar a sincronização TCP para permitir a transferência de tráfego em novas sessões.

• As informações do pacote podem ser perdidas se o redirecionamento for iniciado após um handshake de três vias para inicializar a comunicação. Você deve desabilitar o Junos OS Services Framework (JSF) como o Camada de aplicativo Gateway (ALG) para permitir a transferência de tráfego em novas sessões.

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos. Plataformas adicionais podem ser suportadas.